EU AI Act 8월 2일 전면 시행, 한국 IT 기업이 이제 챙겨야 할 것들

EU AI Act(유럽연합 인공지능법)는 2024년 8월 발효된 세계 최초의 포괄적 AI 규제 법안입니다. 한마디로, AI 시스템을 위험도에 따라 금지·고위험·저위험으로 분류하고, 고위험 AI에 대해선 투명성·문서화·인간 감독 등 엄격한 요건을 부과하는 법이에요. GDPR이 ‘데이터 처리’를 규율했다면, EU AI Act는 ‘AI 시스템 자체’를 규율한다고 보면 됩니다.

“우리는 한국 회사인데 EU 법이 왜 상관이에요?” 싶으시죠. 핵심은 이겁니다. EU 사용자가 한 명이라도 있으면 적용 대상이에요. 서버가 한국에 있어도, 법인이 한국에 있어도 상관없습니다. 채용 AI, 신용평가, 의료 진단 지원처럼 사람에게 직접 영향을 주는 AI를 글로벌로 서비스한다면 이 법을 피할 방법이 없어요.

2026년 8월 2일, 고위험 AI 의무사항이 전면 시행됩니다. 남은 시간이 많지 않아요. 지금 당장 확인해야 할 항목들을 정리했습니다.

8월 2일이 정말 마지막 기한이라는 거, 알고 있었나요?

올해 8월 2일. 딱 3개월 남았습니다. EU AI Act가 핵심 의무사항을 전면 시행하는 날이거든요. GDPR이 나왔을 때를 기억하세요? 그 이상의 파장이 올 겁니다. 다만 한국 기업들은 아직도 한가로운 분위기더라고요. “어차피 우리는 EU 안 하니까” 이런 식으로 생각하는 분들도 있는데, 정말 위험한 발상입니다. 왜냐하면 GDPR처럼 EU AI Act도 글로벌 규제의 기준점이 될 가능성이 아주 높거든요.

그럼 도대체 뭘 준비해야 하는 걸까요? 이 글에서는 한국 IT 기업들이 지금 당장 체크해야 할 실전 항목들을 정리했습니다.

EU AI Act, 다시 한번 정리하자면

우선 기본부터 박자를 맞춰야 해요. EU AI Act는 2024년 12월에 정식 발효됐고, 이제 단계적 시행 단계에 들어간 거거든요. 그리고 2026년 8월 2일이 High-risk AI 시스템의 의무사항이 모두 시작되는 날입니다.

쉽게 말해서, 그날 이전에 준비를 마쳐야 한다는 뜻이에요. 왜냐하면 그 이후엔 “준비 중입니다” 같은 핑계가 안 먹히니까요.

우리 회사 AI는 High-risk 범주에 들어가나?

이거부터 판단을 정확히 해야 합니다. EU AI Act는 AI 시스템을 위험도에 따라 4단계로 분류하거든요. 그중에서 우리가 신경 써야 할 건 High-risk입니다. (금지 범주인 신용평가, 얼굴인식 같은 건 당연히 피하고요.)

High-risk AI의 특징은 뭘까요? 사람의 권리에 실질적인 영향을 주는 AI예요. 예를 들면:

• 고용 채용 시스템 — 채용 공고 자동 필터링, 서류 심사 자동화
• 신용/보험 평가 — 대출 심사, 보험료 산정 AI
• 공공 서비스 자격심사 — 복지 혜택 판정, 이민심사 자동화
• 의료 진단 지원 — CT 영상 분석, 질병 위험도 평가
• 감시 시스템 — 이상 탐지, 범죄 위험도 예측

만약 여기 하나라도 해당하는 AI를 만들거나 배포하고 있다면, 그건 당신의 “High-risk AI”라는 뜻입니다. 준비 시간이 별로 없다는 걸 다시 한번 깨닫게 되죠.

체크리스트: 2026년 8월 2일까지 반드시 완료할 것

이제 구체적인 행동 항목입니다. 이걸 빼먹으면 정말 문제가 됩니다.

1단계: AI 시스템 분류 및 위험도 평가

가장 먼저 할 일은 우리 회사가 보유한 AI 시스템을 모두 리스트업한 후 분류하는 겁니다. 각 시스템이 어느 위험도 카테고리에 해당하는지 판단해야 하거든요. 이때 외부 전문가나 컨설턴트의 도움을 받는 게 좋습니다. EU 기준을 제대로 이해하는 게 중요하니까요.

2단계: High-risk 시스템에 대한 적합성 평가(Conformity Assessment) 완료

High-risk로 판정된 시스템은 이제 적합성 평가를 받아야 합니다. 이건 기술 문서화, 테스트, 리스크 평가, 그리고 제3자 심사까지 포함합니다. 복잡하죠? 그래서 최소 4~6개월 소요가 권장되는 거예요.

구체적으로는:

• 기술 문서화 — 모델 아키텍처, 학습 데이터, 테스트 결과 등을 상세히 기록
• 위험 평가 — 시스템이 초래할 수 있는 위해를 체계적으로 분석
• 성능 테스트 — 정확도, 편향성, 공정성 등을 측정하고 문서화
• 제3자 감사 — Notified Body(공인된 심사 기관)의 검증

3단계: 필수 영향평가(FRIA) 완료

특히 공공기관이나 금융기관(신용평가, 보험사 등)과 일하는 경우라면 필수입니다. Fundamental Rights Impact Assessment(FRIA)라고 부르는 건데, 쉽게 말해 “이 AI가 사람의 기본권을 침해할 수 있나?”를 평가하는 겁니다. 이건 기술만으로 안 되고 법적, 윤리적 검토까지 들어가요.

4단계: CE 마킹 부착 및 데이터베이스 등록

의료기기처럼 AI도 이제 CE 마킹이 필요해집니다. 모든 요구사항을 충족했다는 증거죠. 그리고 High-risk AI는 EU의 공식 AI 데이터베이스에 등록해야 합니다. (공개되지는 않지만 규제 당국이 확인할 수 있는 시스템.)

한국 기업이 놓치기 쉬운 부분들

이 부분이 정말 중요합니다. 왜냐하면 한국 기업들은 보통 “우리는 한국에서만 서비스하니까 괜찮겠지” 이렇게 생각하니까요.

아니에요.

만약 당신의 SaaS, API, 또는 소프트웨어를 유럽 고객이 한 명이라도 사용한다면? EU 규제 대상입니다. 유럽 지사가 없다고 해도, 온라인으로 판매되면 해당 법률을 따라야 하거든요. 이게 GDPR의 가르침이고, AI Act도 같은 논리입니다.

따라서 체크할 항목:

• 우리 제품이 EU 사용자에게 어떻게든 접근 가능한가?
• 우리 AI가 EU 시민의 데이터를 처리하는가?
• 우리 B2B 클라이언트 중 EU 기업이 있는가?
• 우리 AI 모델이 EU에서 학습되었거나 배포되는가?

하나라도 “예”라면, 준비를 시작해야 합니다.

가장 현실적인 액션 플랜

자, 이제 구체적으로 뭘 해야 하는지 알았으니 실행 순서를 제시할게요.

이번 주 안에:

• 회사 내 AI 시스템 전수 조사
• 기술팀과 법무팀의 조율(아직 안 했다면)
• 외부 컨설턴트 선정

5월 중:

• 위험도 분류 완료
• High-risk 시스템 특정
• 기술 문서화 시작

6월~7월 초:

• 적합성 평가 진행
• FRIA 완료 (필요시)
• 제3자 감사 준비

7월 말까지:

• 모든 문서 완성
• CE 마킹 준비
• 데이터베이스 등록 준비

솔직히 3개월은 빠듯합니다. 하지만 불가능한 건 아니에요. 다만 지금 당장 시작해야 한다는 건 분명합니다.

참고로, AI가 주니어 개발자를 대체한다는 말, IT 20년이 보는 냉정한 현실에서 언급했듯이, 규제는 기술보다 항상 한발 뒤에 오는 경향이 있습니다. 하지만 EU는 다릅니다. 이번엔 준비된 규제예요. 진지하게 받아들이세요.

마지막으로: 이걸 기회로 봐야 하는 이유

부담스럽게 들릴 수 있지만, 다르게 생각해보면 이건 기회입니다.

왜냐하면 EU AI Act를 철저히 준수하는 것이 곧 전 세계 스탠더드가 될 테니까요. GDPR이 그랬던 것처럼, AI Act도 미국, 일본, 한국 등 다른 국가들의 규제 입법에 직접 영향을 줄 거예요. 지금 미리 준비하는 회사가 나중에 다른 지역 규제에도 더 빠르게 대응할 수 있다는 뜻입니다.

또한 제대로 된 기술 문서화와 위험 평가는 사실 AI 시스템의 품질을 높입니다. 오류를 찾고, 편향을 제거하고, 신뢰성을 증명하는 과정이니까요. 이건 단순한 규제 대응이 아니라, 더 좋은 제품을 만드는 과정이기도 합니다.

8월 2일이 다가올수록 하는 말이겠지만, “지금이 정말 마지막 기한”입니다. 미루지 마세요.